FortiGate凭证窃取、KadNap僵尸网络感染1.4万路由器、微软修补2个零日漏洞
1. FortiGate防火墙被利用窃取AD凭证
🚨 严重 — 针对医疗和政府的活跃攻击活动
威胁行为者正在利用FortiGate下一代防火墙(NGFW)设备作为入口点入侵受害者网络。该活动针对医疗、政府和托管服务提供商环境,提取包含服务账户凭证和网络拓扑数据的配置文件。
据SentinelOne报告,攻击者利用最近披露的漏洞——CVE-2025-59718、CVE-2025-59719和CVE-2026-24858——或弱凭证来入侵FortiGate设备。由于这些设备通常连接到Active Directory和LDAP以执行基于角色的策略,被入侵的设备等于将整个认证基础设施的密钥交给了攻击者。
在一起记录的事件中,攻击者创建了一个名为"support"的恶意本地管理员账户,配置了四条宽松的防火墙策略,随后解密配置文件提取了明文LDAP服务账户凭证。他们随后在Active Directory中注册了恶意工作站,之后才被发现。
所需行动:立即将FortiGate设备更新到最新固件。轮换所有连接到FortiGate的服务账户凭证。在所有管理界面启用MFA。监控未授权的账户创建和防火墙策略变更。
2. KadNap僵尸网络劫持14,000+华硕路由器
🚨 严重 — 14,000+设备被入侵,60%位于美国
一种名为KadNap的新型恶意软件已感染超过14,000台边缘网络设备——主要是华硕路由器——为隐蔽代理僵尸网络提供动力。超过60%的受害者位于美国。
由Lumen的Black Lotus Labs发现,KadNap使用Kademlia分布式哈希表(DHT)协议的自定义版本,将其命令与控制基础设施隐藏在点对点网络中,使其具有极强的抗拆除能力。
被入侵的设备被纳入名为Doppelgänger的代理服务(Faceless代理网络的品牌重塑),该服务在50+国家销售"100%匿名"住宅代理。该恶意软件针对ARM和MIPS处理器,通过cron作业建立持久性,并主动关闭22端口的SSH访问以防止修复。
| 详情 | 信息 |
|---|---|
| 感染设备 | 14,000+ |
| 主要目标 | 华硕路由器 |
| 美国受害者 | 60%+ |
| C2协议 | 自定义Kademlia DHT(P2P) |
| 代理服务 | Doppelgänger(Faceless品牌重塑) |
| 活跃时间 | 2025年8月至今 |
所需行动:立即更新华硕路由器固件。检查未授权的cron作业和未知进程。如已被入侵,恢复出厂设置。封锁已知C2 IP 212.104.141.140。
3. 微软2026年3月补丁星期二:2个零日漏洞、79个缺陷
⚠️ 立即修补 — 2个已公开零日漏洞
微软2026年3月补丁星期二修复了79个安全缺陷,包括2个已公开披露的零日漏洞和3个严重级别问题。两个严重的远程代码执行漏洞影响Microsoft Office,可通过预览窗格触发。
本月补丁周期的重点:
- SQL Server特权提升零日:不当访问控制通过网络授予SQLAdmin特权
- .NET拒绝服务零日:越界读取允许未授权的网络拒绝服务
- CVE-2026-26110和CVE-2026-26113:可通过预览窗格利用的严重Office RCE漏洞
- CVE-2026-26144:Excel信息泄露漏洞,可通过Microsoft Copilot导出数据——实现零点击AI代理数据窃取
Copilot相关漏洞(CVE-2026-26144)尤其值得关注——它代表了一种新的攻击向量,AI助手可以在没有用户交互的情况下被武器化以窃取数据。这预示着组织现在面临的AI攻击面。
所需行动:立即部署所有2026年3月补丁。由于预览窗格可被利用,优先更新Office。审查Copilot代理权限并限制网络出口能力。
4. BlackSanta EDR杀手针对人力资源部门
⚠️ 活跃攻击 — 俄语威胁行为者
一个运行超过一年的复杂攻击活动通过包含伪装成简历的恶意ISO文件的鱼叉式钓鱼邮件,向人力资源部门投递名为BlackSanta的新型EDR杀手。
攻击链具有高度逃避性:ISO文件包含伪装成PDF的Windows快捷方式、PowerShell脚本以及通过隐写术隐藏恶意代码的图像。提取的代码通过合法的SumatraPDF可执行文件进行DLL侧载,执行广泛的沙箱和虚拟机检测,然后部署BlackSanta。
BlackSanta系统性地禁用终端检测:
- 为
.dls和.sys文件添加Microsoft Defender排除项 - 减少向Microsoft云端的遥测和自动样本提交
- 抑制Windows通知以避免提醒用户
- 使用进程镂空在合法进程中执行有效载荷
所需行动:提醒HR团队注意简历主题的钓鱼攻击。在邮件网关封锁ISO文件附件。监控未授权的Defender排除变更。实施应用程序白名单。
5. HPE关键AOS-CX认证绕过
🚨 严重 — 无需认证即可重置管理员密码
HPE已修补CVE-2026-23813,这是Aruba Networking AOS-CX操作系统中的关键认证绕过漏洞,允许未经认证的远程攻击者重置CX系列园区和数据中心交换机的管理员密码。
该漏洞存在于基于Web的管理界面中,仅需低复杂度攻击即可利用。任何运行HPE AOS-CX交换机且管理界面暴露的组织都面临直接风险。
延迟修补时的缓解措施:
- 将管理界面隔离到专用VLAN
- 在第3层及以上实施严格的管理流量访问控制
- 在不需要管理访问的SVI和路由端口上禁用HTTP(S)接口
- 在REST/HTTP管理端点上执行控制平面ACL
6. APT28对乌克兰军队部署BEARDSHELL和COVENANT
俄罗斯的APT28(Fancy Bear / GRU 26165部队)继续其针对乌克兰的网络间谍活动,自2024年4月以来部署两个植入程序——BEARDSHELL和COVENANT——对乌克兰军事人员进行长期监控。
ESET报告称其武器库还包括SLIMAGENT,具有键盘记录、截屏和剪贴板数据收集功能。该活动突显了俄乌冲突的持续网络维度以及对军事通信的持续针对。
7. Zombie ZIP技术逃避安全工具
一种名为"Zombie ZIP"的新技术允许攻击者在特制的压缩文件中隐藏恶意有效载荷,绕过杀毒软件和EDR检测。该技术利用安全工具和合法存档软件解析ZIP文件方式的差异,创建恶意软件可以通过的盲区。
所需行动:确保安全工具能够检查嵌套和格式错误的存档格式。考虑在将所有压缩文件附件交付给终端用户之前进行沙箱处理。
8. CISA:Ivanti EPM漏洞正在被积极利用
CISA在确认野外活跃利用后,已将最近修补的Ivanti Endpoint Manager (EPM)漏洞添加到其已知被利用漏洞(KEV)目录中。运行Ivanti EPM的组织必须立即优先修补。
Ivanti漏洞被快速武器化的模式继续存在——这是从披露到利用仅需数天的一系列关键Ivanti漏洞中的最新一个。
9. BeatBanker安卓恶意软件伪装为Starlink应用
一种名为BeatBanker的新型安卓银行木马通过伪造的Google Play商店网站分发,伪装成Starlink应用程序。安装后,该恶意软件劫持设备以拦截银行凭证和金融交易。
所需行动:仅从官方Google Play商店安装应用。启用Google Play Protect。教育用户关于虚假应用商店。
10. Microsoft Entra Passkey支持Windows
积极消息方面,微软正在Windows设备上推出Microsoft Entra的密钥支持,通过Windows Hello实现抗钓鱼的无密码认证。这是消除基于密码攻击的重要一步——组织应开始规划Entra密钥部署。
更多头条
| 事件 | 影响 |
|---|---|
| 朝鲜UNC4899入侵加密公司 | 木马化AirDrop文件 + 云原生技术窃取数百万加密货币 |
| Windows 10 KB5078885 ESU发布 | Windows 10扩展安全更新修复3月补丁星期二漏洞,包括2个零日 |
| 恶意npm包冒充OpenClaw | 包部署RAT并窃取macOS凭证、SSH密钥、加密钱包和iMessage历史 |
KENSAI如何保护您
✅ 边缘设备监控 — 在攻击者深入之前检测被入侵的FortiGate、华硕和HPE设备
✅ 补丁情报 — 在披露后数小时内为Microsoft、Ivanti和网络基础设施提供优先CVE跟踪
✅ EDR完整性检查 — 识别BlackSanta式的终端安全配置篡改
✅ AI安全态势 — 监控Copilot和AI代理权限,防止CVE-2026-26144等数据泄露向量
建议行动
- 立即:将FortiGate更新到最新固件。部署微软2026年3月补丁。更新HPE AOS-CX交换机。
- 今天:检查华硕路由器是否有KadNap指标。轮换所有FortiGate连接的服务账户凭证。审查Copilot代理网络出口设置。
- 本周:在邮件网关封锁ISO附件。审计Ivanti EPM部署。规划Entra密钥推出。
- 持续:监控EDR篡改模式。向HR团队简报简历主题钓鱼。为网络设备管理实施零信任。
保持安全。保持警惕。
🗡️ KENSAI安全团队